新规提示|智能手机预装应用程序基本安全要求

2022年10月09日，全国信息安全标准化委员会就国标《信息安全技术 智能手机预装应用程序基本安全要求（征求意见稿）》（以下简称“《要求》”）向社会公开征求意见。

这一国家标准的编制工作开始于2021年10月，在充分研究工信部于2016年12月16日发布的《移动智能终端应用软件预置和分发管理暂行规定》（2017年7月1日生效，以下简称“《规定》”）和相关国家、行业、团体标准的基础上，信安标委于2021年11月12日首先发布《移动智能终端预装应用程序分类方法》（征求意见稿）。2022年2月，标准草案增加个人信息安全要求、第三方预装应用程序安全管理等内容，名称调整为《信息安全技术 智能手机预装应用程序基本安全要求》。

2022年2月16，工信部和网信办发布《关于进一步规范移动智能终端应用软件预置行为的通告（征求意见稿）》（以下简称“《通告》”）。信安标委在此公告的基础上，修改标准文本内容，于2022年5月9日，发布《智能手机预装应用程序分类指南》（以下简称“《指南》”），最终于今年10月9日再次发布《信息安全技术 智能手机预装应用程序基本安全要求（征求意见稿）》。

《要求》旨在重点解决智能手机预装应用程序不可卸载数量多、卸载难；过度索权、默认授权、隐蔽收集个人信息；智能手机生产企业缺乏对第三方预装应用程序的数据安全、个人信息保护审核管理等问题。

《要求》适用于智能手机生产企业的生产活动，也可为相关监管、第三方评估工作提供参考。

随着新型交互技术的出现，移动智能终端的涵摄范围不断扩展，平板电脑、车载电脑、智能手表等设备都可符合移动智能终端的定义。因此考虑到这一术语含义较广，从《指南》再到《要求》，信安标委将适用范围从“移动智能终端”限缩为“智能手机”，聚焦于预装应用程序最为泛滥也最受关注的智能手机。当然其他类型的智能终端仍然受到工信部《移动智能终端应用软件预置和分发管理暂行规定》的规制，本次《要求》也可为其提供参考。

除开术语的变化外，《要求》对于“预装应用程序”的含义也做出调整，没有承继《指南》中较为简单的定义，而是参考2022年初工信部发布的《通告》的基础上，将预装应用程序的范围扩充至智能手机生产企业与移动互联网应用程序运营者合作在智能手机出厂前安装的程序，即第三方预装应用程序。

《要求》给出了智能手机预装应用程序的基本安全要求，包括安全技术要求和安全管理要求。

1. 安全技术要求

1) 可卸载要求：

《要求》将智能手机预装应用程序分为可卸载和不可卸载两类。不可卸载预装应用程序直接支撑操作系统运行或实现智能手机基本功能所必须的基本功能应用程序，限于以下4类8种功能。该8种功能的保留与《通告》保持了一致：

（一）操作系统基本组件：系统设置、文件管理；

（二）保证智能终端硬件正常运行的应用：多媒体摄录；

（三）基本通信应用：接打电话、收发短信、通信录、浏览器；

（四）应用软件下载通道：应用商店。

除了这8种基本功能应用程序外，智能手机中其他预装应用程序均应可卸载，且实现同一基本功能的预装应用程序，至多有一款可设置为不可卸载。不可卸载应用程序内含有直接支撑操作系统运行或实现智能手机基本功能之外的其他功能时，应提供禁用或卸载这些功能的方式。

对于可卸载的预装应用程序，其卸载安全也要得到保障。智能手机生产企业应提供如长按桌面图标即可卸载的便捷卸载功能，且在不影响智能手机安全使用的情况下，除用户选择保留的用户数据、配置文件外，卸载后应将相关程序文件及数据完全删除。不仅如此，企业要保证程序卸载后不应影响智能手机的正常使用，智能手机操作系统升级时，已卸载的预装应用程序不应被恢复，同时升级后的预装应用程序的不可卸载范围仍不超过8种基本功能。

2) 安全功能保障要求

《要求》在预装应用程序安全功能及安全保障上并未赘述，而是规范性引用了GB/T 34975—2017 《信息安全技术 移动智能终端安全技术要求及测试评价方法》。这一国家标准中详细规定了移动智能终端应用软件的安全技术要求，包括软件签名认证、通信功能调用、应用软件代码安全和最小化权限等方面。

3) 个人信息安全要求

《要求》专设“个人信息安全要求”小节，规范性引用了GB/T 41391—2022 《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》，避免重复和不必要的差异。预装应用程序除了要符合国标41391外，《要求》还针对预装应用程序的特点，对个人信息和敏感个人信息的收集和处理做出具体要求。比如预装应用程序应仅在用户开始对该应用程序进行交互操作后向用户申请相关系统以及个人信息权限；不可卸载应用程序宜提供停止使用功能，用户选择停止使用后，不可卸载应用程序不应再对用户个人信息进行处理；预装应用程序将敏感个人信息传出智能手机的，应取得用户单独同意，用户选择不同意时不影响智能手机基本功能的使用。

2. 安全管理要求

1) 预装行为安全

《要求》规定智能手机生产企业应采取技术和管理措施预防在产品流通环节发生置换操作系统和安装应用程序的行为，确保智能手机获得进网许可证前后预装应用程序的范围和可卸载性保持一致。

2) 第三方预装应用程序安全管理

这一小节是安全管理要求的重点，是对中央网信办《网络数据安全管理条例（征求意见稿）》提出的移动通信终端预装第三方产品的数据安全管理责任以及《信息安全技术 移动智能终端操作系统安全技术要求和测试评价方法》（GB/T 34976-2017）提出的操作系统对第三方预装应用程序的安装、运行、卸载功能实现相关要求的回应。

《要求》规定智能手机生产企业应对第三方预装应用程序提供者的数据安全和个人信息保护能力进行审核，第三方的安全能力应符合《信息安全技术 生物特征识别信息保护基本要求》（GB/T 40660—2021）、《信息安全技术 个人信息安全规范》（GB/T 35273—2020）和《信息安全技术 数据安全能力成熟度模型》（GB/T 37988—2019）二级能力要求或通过数据安全能力相关认证；

与此同时，智能手机生产商要对第三方预装应用程序的个人信息处理规则进行审核，包括应用程序基本信息，应用程序提供者信息，个人信息保护政策，收集的个人信息范围，申请的可收集个人信息权限列表，涉及收集个人信息的第三方SDK信息以及第三方预装应用程序提供者关于收集个人信息的工具或手段的声明

3) 预装应用程序安全信息公示

预装应用程序安全信息包括应用程序名称、版本号；应用程序提供者名称、联系方式；是否可卸载、卸载方法；个人信息收集范围及使用目的；可收集个人信息权限申请范围及使用目的；第三方预装应用程序的安全测试、认证情况以及其他安全信息。智能手机生产企业应在产品说明书、官方网站，以及智能手机首次使用时，对这些信息进行明示。

4) 投诉举报

智能手机生产企业应建立简单易用的投诉举报渠道，并确保用户反馈的预装应用程序安全问题能够及时有效处理。